El Esquema Nacional de Seguridad (ENS) es el marco legal, regulado por el Real Decreto 311/2022, de 3 de mayo, que fija los requisitos mínimos de ciberseguridad que deben cumplir los sistemas de información del sector público español y las empresas privadas que le prestan servicios. Establece tres niveles (básica, media y alta) y cinco dimensiones de seguridad: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Esta es la versión rápida: lo esencial del ENS en cinco minutos de lectura, pensada para entenderlo de un vistazo. Si necesitas el detalle artículo por artículo (anexos, plazos de adecuación, medidas técnicas y proceso de certificación), tienes la guía completa del ENS, mucho más extensa. Aquí vamos a lo que la mayoría busca: qué es, a quién obliga, cuántos niveles tiene, qué protege y cómo se acredita.
El ENS en 5 claves
- Qué es: un real decreto (RD 311/2022) que obliga a proteger la información y los servicios públicos con un mínimo común de medidas de ciberseguridad.
- A quién obliga: a todo el sector público y, por extensión, a las empresas privadas que le prestan servicios o le proveen soluciones tecnológicas.
- Tres niveles: categoría básica, media y alta, según el impacto que tendría un incidente.
- Cinco dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (regla mnemotécnica C-I-D-A-T).
- Cómo se acredita: la categoría básica se declara por autoevaluación; la media y la alta exigen certificación por una entidad acreditada por ENAC.
¿Qué es el Esquema Nacional de Seguridad?
El ENS es la norma que estandariza la ciberseguridad de la Administración Pública en España. Nació con el Real Decreto 3/2010 y fue completamente renovado por el Real Decreto 311/2022, de 3 de mayo, que es el texto vigente. Su base legal es el artículo 156.2 de la Ley 40/2015, de Régimen Jurídico del Sector Público.
Dicho sin tecnicismos: cuando una administración tramita tus impuestos, gestiona tu historia clínica o publica una licitación, lo hace sobre sistemas informáticos que deben estar protegidos con un nivel mínimo de seguridad común a todas las administraciones. Ese «mínimo común» es el ENS. No es una recomendación: es de cumplimiento obligatorio.
El objetivo declarado de la norma es generar las condiciones de confianza necesarias para el uso de los medios electrónicos, protegiendo los datos y los servicios frente a amenazas, ya sean accidentales o deliberadas. Para ello el RD 311/2022 articula principios básicos, requisitos mínimos, un mecanismo de categorización de los sistemas y un catálogo de medidas de seguridad (su famoso Anexo II).
Conviene retener un par de matices que explican por qué el ENS importa más de lo que parece. Primero, no es un trámite que se firma una vez y se olvida: la seguridad se entiende como un proceso continuo, con análisis de riesgos periódico, monitorización y mejora. Segundo, el ENS reparte responsabilidades concretas dentro de la organización (responsable de la información, del servicio, de la seguridad y del sistema), de modo que el cumplimiento no recae solo en el departamento de informática, sino también en la dirección, que es quien aprueba la política de seguridad.
¿A quién obliga el ENS?
El ámbito de aplicación está en el artículo 2 del RD 311/2022 y es más amplio de lo que muchos creen. Obliga a dos grandes grupos:
- Todo el sector público. Administración General del Estado, comunidades autónomas, entidades locales (ayuntamientos y diputaciones), universidades públicas, organismos autónomos y entidades de derecho público. Si presta un servicio público por medios electrónicos, está dentro.
- Las empresas privadas que sirven al sector público. El artículo 2.3 extiende la obligación a las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público. Es la pieza que más sorprende a las pymes tecnológicas: si vendes software, alojamiento, soporte o cualquier servicio TIC a una administración, el ENS te alcanza por la cadena de suministro.
Esa extensión a proveedores se materializa en los pliegos de contratación: cada vez más licitaciones públicas exigen presentar la Declaración o la Certificación de Conformidad con el ENS como requisito para contratar. Si tu empresa quiere trabajar con la Administración, conviene anticiparse. Lo desarrollamos en detalle en el artículo sobre por qué el ENS es obligatorio para empresas y proveedores.
El ENS, además, no vive aislado: convive con el las obligaciones del RGPD para empresas, la directiva las obligaciones de NIS2 y el reglamento DORA. Para situar cada norma en su sitio tienes el mapa general de la normativa de ciberseguridad en España.
¿Cuáles son los niveles del ENS?
El ENS clasifica cada sistema de información en una de tres categorías, en función del perjuicio que causaría un incidente de seguridad. La categoría determina cuántas y cuán exigentes son las medidas de seguridad que hay que aplicar.
| Categoría | Cuándo se asigna | Impacto de un incidente | Conformidad |
|---|---|---|---|
| Básica | Ninguna dimensión supera el nivel BAJO | Limitado | Autoevaluación (declaración) |
| Media | Alguna dimensión alcanza el nivel MEDIO (y ninguna el ALTO) | Grave | Certificación por entidad acreditada |
| Alta | Alguna dimensión alcanza el nivel ALTO | Muy grave | Certificación por entidad acreditada |
La regla de oro es sencilla: la categoría del sistema la marca la dimensión más exigente. Basta con que una sola dimensión llegue al nivel alto para que todo el sistema sea de categoría alta, con el consiguiente refuerzo de medidas. Esta lógica de «el eslabón más fuerte arrastra a todo el conjunto» es clave para entender por qué una clasificación bien hecha ahorra esfuerzo (y dinero).
¿Qué son las dimensiones de seguridad (C-I-D-A-T)?
Para decidir el nivel de cada sistema, el ENS no mira «la seguridad» en abstracto, sino cinco propiedades concretas de la información y los servicios. Son las dimensiones de seguridad, y se resumen con el acrónimo C-I-D-A-T. Cada dimensión se valora por separado en uno de tres niveles: bajo, medio o alto.
| Dimensión | Pregunta que responde | Qué garantiza |
|---|---|---|
| C — Confidencialidad | ¿Quién puede ver la información? | Que solo accedan a los datos las personas autorizadas. |
| I — Integridad | ¿La información está intacta? | Que los datos no se alteren ni se destruyan de forma no autorizada. |
| D — Disponibilidad | ¿Está accesible cuando se necesita? | Que el servicio y la información estén disponibles en el momento requerido. |
| A — Autenticidad | ¿Es quien dice ser? | Que se pueda confiar en la identidad de usuarios, equipos y datos. |
| T — Trazabilidad | ¿Quién hizo qué y cuándo? | Que las actuaciones queden registradas y sean atribuibles a su autor. |
El proceso es metódico: se valora cada dimensión (por ejemplo, la disponibilidad de la sede electrónica en nivel medio, la trazabilidad en nivel alto, etc.), y el nivel más alto entre las cinco fija la categoría del sistema. A partir de ahí, el Anexo II del RD 311/2022 indica qué medidas concretas hay que implantar para cada combinación de dimensión y nivel.
Un ejemplo sencillo para fijar la idea. Imagina la sede electrónica de un ayuntamiento donde los ciudadanos presentan instancias. La disponibilidad probablemente sea media (que el servicio caiga unas horas es molesto pero asumible), la integridad de los registros debe ser alta (un documento alterado tendría consecuencias graves) y la trazabilidad también alta (hay que poder demostrar quién presentó qué y cuándo). Como al menos una dimensión llega a alto, el sistema completo se clasifica como categoría alta. Por eso una valoración rigurosa de cada dimensión, ni a la baja ni a la alta, es el paso que más condiciona el coste y el alcance del proyecto.
¿Cómo se acredita la conformidad con el ENS?
Cumplir el ENS no basta: hay que poder demostrarlo. El mecanismo depende de la categoría del sistema y está descrito en la guía CCN-STIC 809 del Centro Criptológico Nacional.
| Categoría | Mecanismo | Quién lo realiza | Resultado |
|---|---|---|---|
| Básica | Autoevaluación | El propio personal del sistema o quien delegue | Declaración de Conformidad |
| Media | Auditoría de certificación | Entidad de certificación acreditada por ENAC | Certificación de Conformidad |
| Alta | Auditoría de certificación | Entidad de certificación acreditada por ENAC | Certificación de Conformidad |
En la práctica, la diferencia es notable. La categoría básica permite una autoevaluación: la organización verifica internamente que cumple y emite una Declaración de Conformidad, sin necesidad de un auditor externo. Las categorías media y alta, en cambio, requieren una auditoría formal realizada por una entidad de certificación acreditada por ENAC, que culmina en una Certificación de Conformidad. La conformidad debe revisarse al menos cada dos años.
Tanto la declaración como la certificación dan derecho a exhibir el correspondiente distintivo de conformidad del ENS, el sello que la Administración suele pedir en las licitaciones. Llegar a ese punto exige un proyecto previo de adecuación: análisis de riesgos, política de seguridad, implantación de medidas y auditoría. Si tu organización está en ese camino, podemos ayudarte tanto en la consultoría de implantación del ENS como en la preparación de la auditoría de conformidad.
¿Dónde descargar el ENS en PDF?
El texto oficial y gratuito del ENS está en el Boletín Oficial del Estado. Estas son las fuentes primarias que conviene guardar:
- Texto consolidado (recomendado): incluye todas las correcciones y modificaciones. Disponible en HTML y en PDF descargable en el BOE-A-2022-7191.
- PDF directo del consolidado: BOE-A-2022-7191-consolidado.pdf.
- Guías y herramientas de apoyo: el portal oficial del CCN, ens.ccn.cni.es, reúne las guías CCN-STIC de la serie 800, plantillas y preguntas frecuentes.
Un consejo práctico: descarga siempre la versión consolidada del BOE, no la publicación original de mayo de 2022, porque la consolidada incorpora las correcciones de errores posteriores y es la que refleja el estado vigente de la norma.
Resumen: el ENS de un vistazo
Si tuvieras que quedarte con una sola idea, sería esta: el ENS es el «mínimo de ciberseguridad obligatorio» del sector público español, que se aplica también a sus proveedores privados, se mide en tres niveles y cinco dimensiones, y se demuestra mediante autoevaluación (básica) o certificación externa (media y alta).
- Norma: Real Decreto 311/2022, de 3 de mayo (deroga el RD 3/2010).
- Base legal: Ley 40/2015, artículo 156.
- Estructura: 41 artículos, 3 disposiciones adicionales y 4 anexos.
- Categorías: básica, media, alta.
- Dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
- Conformidad: declaración (básica) o certificación ENAC (media y alta), revisable cada dos años.
Y, sobre todo, recuerda que esto es el resumen. Cuando necesites bajar al detalle —cómo clasificar un sistema concreto, qué medidas del Anexo II te aplican, cuáles son los plazos de adecuación o cómo enfrentar la auditoría— el siguiente paso natural es la guía completa del ENS.
Preguntas frecuentes sobre el ENS
¿Qué es el Esquema Nacional de Seguridad en pocas palabras?
Es el marco legal español, regulado por el Real Decreto 311/2022, que establece los requisitos mínimos de ciberseguridad que deben cumplir los sistemas de información del sector público y de las empresas privadas que le prestan servicios. Define tres niveles de exigencia (básica, media y alta) y cinco dimensiones de seguridad para proteger los datos y los servicios públicos electrónicos.
¿A quién obliga el ENS?
Obliga a todo el sector público español (Administración General del Estado, comunidades autónomas, entidades locales, universidades públicas y organismos dependientes) y, por extensión, a las empresas privadas que le prestan servicios o le proveen soluciones tecnológicas. Por eso muchas licitaciones públicas exigen a sus contratistas presentar la Declaración o la Certificación de Conformidad con el ENS.
¿Cuáles son los niveles del ENS?
El ENS define tres categorías de seguridad: básica, media y alta. La categoría se asigna en función del impacto que tendría un incidente y la determina la dimensión más exigente del sistema: si una sola de las cinco dimensiones alcanza el nivel alto, todo el sistema pasa a categoría alta. La categoría fija el conjunto de medidas de seguridad aplicables.
¿Dónde descargar el ENS en PDF?
El texto oficial y gratuito está en el Boletín Oficial del Estado. La opción recomendada es el texto consolidado del Real Decreto 311/2022 (referencia BOE-A-2022-7191), disponible en HTML y en PDF en boe.es. El portal del CCN (ens.ccn.cni.es) complementa la norma con guías CCN-STIC, plantillas y preguntas frecuentes.
Fuentes
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (texto consolidado) — BOE
- RD 311/2022 — PDF consolidado del BOE
- Ley 40/2015, de Régimen Jurídico del Sector Público (base legal del ENS, art. 156) — BOE
- Portal del Esquema Nacional de Seguridad — Centro Criptológico Nacional (CCN)
- Guía CCN-STIC 809: Declaración y Certificación de Conformidad con el ENS — CCN-CERT
¿Tu organización es una administración o un proveedor del sector público en Castilla y León que necesita adecuarse al ENS? Damos cobertura desde nuestra sede en Castilla y León, acompañando todo el proyecto desde el análisis de riesgos hasta la obtención del distintivo de conformidad.
Contenido elaborado por Summum Marketing. Información de referencia para divulgación; no sustituye el asesoramiento profesional ni el texto oficial de la norma.